A pochi giorni dal massiccio attacco hacker ai danni della Nato, questa volta è l’Italia ad essere colpita. “Oggi continueremo il nostro affascinante viaggio attraverso l’Italia russofoba”: il collettivo di hacker filo-russi NoName057 rivendica così l’attacco di tipo DDos in corso da stamattina nei confronti di una decina di siti istituzionali italiani che ha rivendicato sui propri profili Telegram.
Colpiti differenti siti istituzionali tra cui Difesa, Esteri, Carabinieri, Viminale per la Carta d’identità, Politiche agricole, Tim, Banca PER, A2A Energia. L’attacco viene messo esplicitamente in relazione alla visita del premier Meloni a Kiev: “l’Italia fornirà all’Ucraina un sesto pacchetto di aiuti militari che includerà tre tipi di sistemi di difesa aerea – scrivono gli hacker – compresi i sistemi anticarro SAMP-T”. Molti servizi sono stati prontamente ripristinati; è stata data un’allerta e la costituency nell’insieme “ha reagito molto bene”. Qualche servizio è stato ripristinato immediatamente, qualcuno non ancora. Dal punto di vista tecnico “non è un attacco volumetrico che ha creato i problemi ma è un attacco diretto alle applicazioni quindi più complesso”, riferiscono le fonti. “Questo tipo di attacchi non nuovo mira al danneggiamento dei sistemi informatici – afferma Ricardo Croce vice questore aggiunto della Polizia di Stato a Rainews24 – Consiste nella saturazione dell’infrastruttura con un disservizo con il venir meno del servizio informatico. Per gli utenti il rischio è legato all’uso del servizio. La nostra azione è di supprto per un celere recupero dell’attività della struttura informatica attaccata”.
- Attacco hacker alla Nato: l’ombra del gruppo filorusso Killnet
- Cosa sappiamo dell’attacco hacker all’Italia
- L’allarme cyber nell’autunno caldo italiano
Il “curriculum” del collettivo NoName057
Le azioni di collettivi come Killnet o NoName057, tuttavia, non hanno fini estortivi, e per questo sono molto più pericolosi: prendono di mira le istituzioni o aziende pubbliche chiave, e hanno come unico fine mandare in tilt Paesi e città. Sul canale di NoName, che presenta numerosi gruppi su Telegram in varie lingue, si susseguono vari post, ognuno a “celebrare” una vittima della rete italiana. I post riportano sempre la bandiera italiana e la foto di un orso, alternativamente poi, compaiono gli stemmi della Repubblica, l’impronta della zampa di un orso e della…pasta. Solo nelle ultime ore il collettivo vanta numerosi attacchi, come quello al portale ucraino Portmone, che si occupa di raccolte per le Forze armate ucraine, alcuni siti francesi-tra i quali il National Center for Space Research-, ma anche aziende tedesche legate a forniture militari.
Anche il gruppo NoName57 è, ormai, una vecchia conoscenza. Si tratta di un gruppo di hacker filo-russi che si è presentato alla rete nel marzo del 2022. Ha rivendicato la responsabilità di attacchi informatici a Paesi come l’Ucraina, gli Stati Uniti e altri vari paesi europei, oltre che a numerosi siti di agenzie governative, media e siti Web di società private. Secondo i media ucraini, il gruppo sarebbe anche coinvolto nell’invio di lettere di minaccia a giornalisti ucraini. Gli hacker di NoName057 hanno guadagnato la loro popolarità durante una serie di massicci attacchi Dddos ai siti web lituani. Secondo gli hacker filo-russi, così facendo “avrebbero vendicato” le autorità lituane per aver vietato il transito di merci russe dalla regione di Kaliningrad.
I rischi per l’Italia
La tipologia di attacco è molto simile a quella utilizzata dal gruppo Killnet: generando appunto ciò che in gergo si chiama offensiva Ddos, il Denial of service attack. Sull’attacco – che ha fin qui provocato per lo più disservizi temporanei – indaga la Polizia postale e delle comunicazioni. Fonti investigative italiane confermano l’attacco anche se, sottolineano, i sistemi di difesa delle aziende e delle istituzioni sono riusciti a mitigare le conseguenze dell’azione al punto che la maggior parte dei siti è comunque raggiungibile. Stavolta però, affermano fonti investigative, le contromisure hanno funzionato e non si sono verificati i problemi del maggio scorso, quando decine di siti, compreso quello del Senato e dello stesso ministero della Difesa andarono in down a causa di un attacco da parte degli hacker di Killnet, altro collettivo filorusso che dall’inizio della guerra ha preso di mira tutti i paesi che sostengono l’Ucraina. Sono infatti scattate immediatamente le procedure di sicurezza e sono stati bloccati tutti gli accessi provenienti da indirizzi Ip all’estero. Con gli esperti della Polizia Postale, in stretto contatto con i responsabili della sicurezza informatica di aziende e istituzioni, che stanno monitorando costantemente le dimensioni e l’estensione dell’attacco e cercando di individuarne la provenienza. Il risultato è che l’accesso ai siti non è stato, per il momento, bloccato, ma solo rallentato.
Proprio questa mattina era stato diffuso il rapporto sulle attività cybercriminali nel quarto trimestre 2022 condotto dalla società di sicurezza Swascan, che ha registrato un forte aumento gli attacchi hacker alle piccole e medie imprese italiane. L’80% dei cybercrimini è contro le aziende con fatturato inferiore a 250 milioni di euro, il 51% delle realtà colpite ha meno di 100 dipendenti. L’analisi è stata elaborata scegliendo a campione 10 aziende vittime per ognuna delle 10 gang ransomware che si sono distinte nel periodo intercorso tra ottobre e dicembre 2022, per un totale di 100 aziende analizzate. I dati sono poi stati aggregati in base al fatturato e al numero di dipendenti delle vittime.
“L’attenzione delle gang ransomware nei confronti delle Pmi italiane – commenta Pierguido Iezzi, Ceo di Swascan – va ricondotta alla maggiore facilità nel colpire questo settore, caratterizzato da investimenti proporzionalmente minori nella cybersicurezza. Queste aziende cedono più facilmente al ricatto, poiché i sistemi di backup spesso non sono configurati in sicurezza e di conseguenza vengono anch’essi crittografati: il pagamento del ricatto diventa allora l’unica via per poter riprendere l’operatività del business. Un totale di 2.704 vittime nel corso dell’intero anno, ben 817 delle quali ad opera della sola a gang LockBit, tra le sue vittime più recenti l’attacco al servizio idrico di Porto, la seconda città più grande del Portogallo.
“Si tratta dell’ennesima operazione condotta da gruppi pro-Russia contro aziende ed organizzazioni di Paesi che esprimono supporto all’Ucraina. Il modus operandi è il medesimo: queste formazioni utilizzano gruppi Telegram per vere e proprie chiamate alle armi”: è il parere espresso all’Ansa di Pierluigi Paganini, esperto di cybersicurezza. “Tipicamente sono condivise liste di siti da colpire con attacchi Ddos che saturandone le risorse li rendono irraggiungibili – spiega Paganini – Si tratta di attacchi semplici, tuttavia la disponibilità di botnet composte da un gran numero di sistemi compromessi rende queste offensive difficili da arginare senza le dovute contromisure. Questi attacchi dimostrano l’impatto di ‘Non state actor‘ nell’attuale conflitto. Si tratta di gruppi criminali ed attivisti che a vario titolo operano in supporto di Mosca. In taluni casi sono stati dimostrati legami proprio con l’intelligence militare russa”, conclude l’esperto.
Dacci ancora un minuto del tuo tempo!
Se l’articolo che hai appena letto ti è piaciuto, domandati: se non l’avessi letto qui, avrei potuto leggerlo altrove? Se non ci fosse InsideOver, quante guerre dimenticate dai media rimarrebbero tali? Quante riflessioni sul mondo che ti circonda non potresti fare? Lavoriamo tutti i giorni per fornirti reportage e approfondimenti di qualità in maniera totalmente gratuita. Ma il tipo di giornalismo che facciamo è tutt’altro che “a buon mercato”. Se pensi che valga la pena di incoraggiarci e sostenerci, fallo ora.
